Сеть предприятия. как подключить резервный канал Internet Канал 1 Требуется сделать настройки так, чтобы канал 2 включался только если канал 1 отключился Канал 2 Internet Сеть предприятия. Как подключить резервный канал MAC Spoofing 00:00:00:BB:BB:BB 00:00:00:CC:CC:CC L2 forward table MAC dst 00:00:00:BB:BB:BB src 00:00:00:CC:CC:CC 2 3 1 00:00:00:AA:AA:AA Port 00:00:00:BB:BB:BB 2 00:00:00:AA:AA:AA 1 00:00:00:CC:CC:CC 1 dst 00:00:00:BB:BB:BB src 00:00:00:CC:CC:CC MAC Spoofing защита Dinamic Host Configuring Protocol (DHCP) Можно сделать Нелигитимные DHCP сервера • Защита от DHCP Snooping ????? DHCP Snooping настройка защиты Address Resolution Protocol (ARP) MAC 00:00:00:BB:BB:BB IP 192.168.0.11 MAC 00:00:00:CC:CC:CC IP 192.168.0.12 1. 2. 3. 4. 5. ping 192.168.0.11 MAC ? MAC 00:00:00:AA:AA:AA IP 192.168.0.10 Компьютер A формирует broadcast запрос WHO HAS 192.168.0.11 Принимают все Отвечает только компьютер B Теперь комьютер A знает MAC для 192.168.0.11 Ответ кешируется на 300 сек Можно посылать ответы без запроса! ARP frame format Wireshark dump ARP Spoofing (Poisoning) MAC 00:00:00:BB:BB:BB IP 192.168.0.11 MAC 00:00:00:CC:CC:CC IP 192.168.0.12 Ping 192.168.0.12 Уйдёт на MAC A Ping 192.168.0.11 Уйдёт на MAC A Ethernet MAC A -> MAC B ARP Reply (MAC A, IP 192.168.0.12) Ethernet MAC A -> MAC C ARP Reply (MAC A, IP 192.168.0.11) MAC 00:00:00:AA:AA:AA IP 192.168.0.10 ARP Spoofing (Poisoning) Port Security не защитит ! ARP Spoofing (Poisoning) защита 802.1X (dot1x) Suplicant - устройство которое запрашивает доступ к сети у аутентификатора. На клиенте должно быть ПО реализующее 802.1X Audenticator - устройство контролирующее физический доступ к сети. Proxy между клиентом и сервером аутентификации. Authentication server - аутентификация клиента. Cообщает аутентификатору разрешен ли клиенту доступ к сети. 802.1X Indentity Store 802.1X Supplicant 802.1X PC Supplicant 802.1X (dot1x) настройка защиты от нежелательных клиентов